Alors que la Délégation du numérique en santé annonce cette fin de semaine que plus de cinq cents établissements de santé ont réalisé au moins un premier exercice de gestion de crise cyber, l'Agence de l'Union européenne pour la cybersécurité (Enisa) publie ce mois de juillet son premier panorama des cybermenaces pour le secteur de la santé. Premier enseignement, les rançongiciels représentent 54 % des menaces de cybersécurité.
215 incidents à l'échelle européenne
L'analyse de l’Enisa, qui cartographie et étudie les cyberattaques sur une période d’un peu plus de deux ans, s’est basée sur un total de 215 incidents signalés publiquement dans l'Union européenne et les pays voisins. Fait marquant, 43 d’entre eux se sont déroulés en France : 19 en 2021, 17 en 2022 et 7 au premier trimestre 2023.
Procédons-nous à davantage de déclarations ou sommes-nous plus vulnérables que nos voisins européens ? Pour Laurent Pierre, conseiller numérique en santé à la Fédération hospitalière de France (FHF), « ces chiffres interrogent et malheureusement, ils ne sont pas sourcés. On ne peut pas faire le lien avec le dernier rapport publié par le Cert Fr Santé* qui recense 464 signalements concernant les hôpitaux en 2022, dont 50 % n’ont pas d’origine malveillante. Ces volumes sont liés à l’obligation qu’ont les établissements français de déclarer tous les incidents à l’organisme sectoriel, une mesure assez inédite en Europe. Le rapport de l’Enisa ne montre pas que la France est plus vulnérable mais qu’elle dispose d’une organisation de signalements qui fonctionne ».
Les suites de la pandémie
« La montée de la pandémie de Covid-19 nous a montré à quel point nous dépendons de manière critique des systèmes de santé. L'accès aux données de signalement d'incidents doit donc être facilité pour mieux comprendre notre environnement de cybermenaces et identifier les mesures d'atténuation appropriées que nous devons mettre en œuvre », a commenté Juhan Lepassaa, Directeur exécutif de l’Enisa.
« Avant 2020, les établissements publics ne se percevaient pas comme des cibles alors que leur dette technique les exposait fortement mais la FHF salue les efforts réalisés en 2021 et 2022 par les établissements avec l’appui de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), du Cert Fr et les efforts financiers du gouvernement », poursuit Laurent Pierre qui cite notamment le programme « Cybersurveillance, accélération et résilience des Établissements » (CaRE). Ce programme, placé sous l’autorité de la Délégation au numérique en santé, prévoit le financement d’opérations de sécurisation sur cinq ans.
Prévenir la cyberattaque
Le rapport de l’Enisa confirme l’urgence d’agir car « seulement 27 % des organisations interrogées dans le secteur de la santé disposent d'un programme dédié de défense contre les ransomwares [rançongiciels, NDLR]. Les données des patients, y compris les dossiers de santé électroniques, ont été les plus ciblées (30 %). Fait alarmant, près de la moitié de tous les incidents (46 %) visaient à voler ou divulguer les données des organisations de santé ».
Le rapport européen met également en lumière les pertes financières encourues, estimant « le coût médian d'un incident de sécurité majeur dans le secteur de la santé à 300 000 euros », selon l'étude ENISA NIS Investment 2022. Un chiffre qui interroge la FHF. « De quoi parlons-nous ? Le coût d’une reconstruction technique reste souvent confidentiel et plutôt secondaire par rapport à l’impact de la crise générale que traverse à ce moment-là l’établissement. Néanmoins, à titre d’exemple, pour un GHT, qui regroupe 10 000 agents, nous sommes plus proches du demi-million d’euros pour remettre à niveau son dispositif de sécurité », estime Laurent Pierre.
*Le Cert Fr est le CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) gouvernemental et national français. Il est porté par la sous-direction Opérations de l’Agence nationale de la sécurité de systèmes d’information.
À l’hôpital psychiatrique du Havre, vague d’arrêts de travail de soignants confrontés à une patiente violente
« L’ARS nous déshabille ! » : à Saint-Affrique, des soignants posent nus pour dénoncer le manque de moyens
Ouverture du procès d'un homme jugé pour le viol d'une patiente à l'hôpital Cochin en 2022
Et les praticiens nucléaires inventèrent la médecine théranostique